Nariadenie GDPR podstatne zmenilo spôsob, akým podniky spracúvajú osobné údaje. Pravidlá, ktoré sa týkajú ochrany osobných údajov sa v uplynulých mesiacoch zmenili a priniesli požiadavku určiť zodpovednú osobu (DPO). Tá je zodpovedná za správne zaobchádzanie s osobnými údajmi. Prečo je táto funkcia tak dôležitá a kto ju môže vykonávať?
Kto potrebuje zodpovednú osobu?
Mnohí podnikatelia usudzujú, že ich spoločnosť je príliš malá, aby mohla byť ovplyvnená GDPR, ale v skutočnosti to tak nie je. Všetky podniky musia preukázať, že sú kompatibilné – či už sú to jednočlenné firmy alebo majú stovky zamestnancov. Prvý návrh GDPR vyžadoval, aby spoločnosť najala DPO len vtedy, ak zamestnáva najmenej 250 zamestnancov, ale teraz sa to zmenilo a vzťahuje sa to aj na menšie podniky, ktoré spracovávajú veľké množstvo údajov. Prijímanie úradníka pre ochranu údajov ukazuje, že sa firma zaviazala dodržiavať zákon a zaviedla opatrenia na zmiernenie akýchkoľvek možných chýb.
Zo zákona majú povinnosť menovať zodpovednú osobu:
- organizácie verejnej správy,
- verejnoprávne spoločnosti (obce, školy, nemocnice atď),
- všetky firmy, ktorých hlavnou činnosťou je systematické a dlhodobé sledovanie informácií o jednotlivcoch,
- prevádzkovateľov, ktorých hlavnou činnosťou je spracovanie osobných údajov týkajúcich sa uznania viny za trestné činy,
- prevádzkovateľov, u ktorých to stanovuje zvláštny právny predpis.
Kto je vlastne DPO (zodpovedná osoba podľa GDPR)?
Zodpovedná osoba (DPO) by mala byť univerzálny odborník, ktorý vie správne skombinovať právne znalosti, technickú oblasť IT a znalosť prostredia a procesov v danej firme. DPO by mal byť rešpektovaný vrcholným vedením spoločnosti.
V rámci firmy DPO dohliada na to, aby všetko procesy, pri ktorých sa pracuje s osobnými údajmi, boli vždy v súlade so zákonom. Samozrejme sa od neho vyžadujú aj dobré komunikačné schopnosti, nakoľko jeho pôsobnosť je naprieč celou firmou. DPO je zároveň aj kontaktná osoba pre dozorný orgán, ktorým je Úrad na ochranu osobných údajov. Menovaním DPO sa ešte nič nekončí. Firmy neustále sledujú dodržiavanie GDPR ako celok a zodpovedná osoba funguje skôr ako mediátor.
Hľadanie ideálneho kandidáta
Aj keď zodpovedná osoba pre ochranu údajov bude úzko spolupracovať s informačnými technológiami, úloha je v podstate administratívna. DPO potrebuje pochopiť firemnú kultúru a hľadanie dokonalého kandidáta bude často organickým procesom, pri ktorom stretnutie najlepších talentov v rámci organizácie odhalí, že ideálna voľba je bližšia než sa očakávalo.
To znamená, že v niektorých prípadoch je vhodné ponechať vo funkcii doterajšiu zodpovednú osobu. Funkciu zodpovednej osoby môže vykonávať vlastný zamestnanec, alebo externista a to formou zmluvnej dodávky služieb. DPO musí rozumieť záležitostiam, ktoré sa týkajú ochrany osobných údajov. Pri vlastných zamestnancov je dôležité zaistiť, aby pre výkon tejto funkcie mali dostatočne garantovanú nezávislosť od spoločnosti a aby u nich nevznikal prípadný konflikt záujmov.
V každom prípade by mala zodpovedná osoba byť:
- nezávislá od samotného vedenia organizácie,
- odborník v oblasti práva a ochrany osobných údajov,
- odborník so skvele zvládnutou znalosťou GDPR,
- odborník schopný v praxi aplikovať tzv. risk based approach (článok 39 ods. 2 GDPR) v zmysle, ktorého je zodpovedná osoba povinná zohľadňovať riziko spojené so spracovateľskými operáciami, pričom berie na vedomie povahu, rozsah, kontext a účely spracúvania osobných údajov,
- osoba s dobrou povesťou z hľadiska bezúhonnosti a profesionálnej etiky,
- osoba bez konfliktu záujmov vo vzťahu k organizácii.
Jednotlivé úlohy zodpovednej osoby vo firmách:
- monitorovať súlad firmy s GDPR,
- zaistiť, aby u prevádzkovateľa bola vedená všetka súvisiaca povinná dokumentácia,
- zabezpečovať tvorbu interných pravidiel,
- zvyšovať povedomie a odbornú pripravenosť zamestnancov pracujúcich s osobnými údajmi,
- vykonávať interné audity a posudzovanie vplyvov na ochranu údajov
- viesť a udržiavať spoluprácu s dozorným orgánom a zároveň im byť k dispozícii v prípade možných kontrol a rôznych právnych konaní,
- poskytovať kontinuálne poradenstvo a informácie týkajúce sa ochrany osobných údajov,
- firma ma povinnosť zverejniť kontaktné údaje zodpovednej osoby (napr. na oficiálnom firemnom webe).
Vymenovanie zodpovednej osoby je jednou z noviniek, ktoré prinieslo GDPR. Poverenie vhodnej osoby do tejto funkcie môže ušetriť firme nemalé peniaze pri možných porušeniach. Zatiaľ čo zodpovednej osobe podľa GDPR žiadne sankcie nehrozia, prevádzkovateľov strašia pokuty až v desiatkach miliónov EUR.